Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze dne 21. xxxxxx 2018
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. a) xx x) a x) xxxxxx č. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "informační x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) typy, xxxxxxxxx x hodnocení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, provoz, xxxxxxx, xxxxxx a xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx přijatelné xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") a xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační x xxxxxxxxxxx systém,
h) rizikem xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení xxxxx, výběr x xxxxxxxx opatření xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx k xxxxxxx informačního a xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, udržování a xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx nebo xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) významným dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") x xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx právního xxxxxx, xxxxx xx xxxxxxxx x hlediska xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) významnou xxxxxx xxxxx, xxxxx xx xxxx xxxx mít xxxx na kybernetickou xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo více xxxxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx požadavky xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx části x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xx základě cílů xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) xxxx rizika xxxxx §5,
x) xxxxxxx x schválí bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx oblastech xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx systém řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx změny, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x prováděnými xxxxxxxxxx xxxxxxx a
j) xxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx činnosti spojené xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx v rozsahu xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx a xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti a xxxxxx xx do xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) určí x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) hodnotí xxxxxxxx xxxxxx a xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) xx xxxxxxx hodnocení xxxxx xxxxxxxxx x zavádí xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx a xxxxxxxx xxx manipulaci x xxxxxx s xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx na xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx právních xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx narušení vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty,
e) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) dopady xx zachování xxxxxxx xxxxx xxxx ochranu xxxxx pověsti,
h) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx mezinárodní vztahy x
x) xxxxxx na xxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx rizik
(1) Xxxxxxx xxxxx v xxxxx xxxxxx rizik x xxxxxxxxxx na §4
x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,
b) x xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x xxxxxxxxxxxx intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx aktiva; xxxx xxxxxx xxxxxxx xxxxxxx v rozsahu přílohy č. 2 k této xxxxxxxx,
x) xxxxxxxx zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. xxxx aplikována, xxxxxx způsobu xxxxxx,
x) xxxxxxxx a xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich zavedení, xxxxx xxxxx mezi xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) xxx hodnocení xxxxx x x xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx systému xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, x
x) x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx alespoň xxxxxx xx tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Organizační xxxxxxxxxx
(1) Povinná xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 slučitelných xx strategickým xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx dostupnost zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx zaměstnance o xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí xxxxxxx x dosažení xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x osob, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx osoby xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků k xxxxxxxxxx xxxxxx rolí x plnění xxxxxxxxxxxxx xxxxx a
l) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx osoba x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx výboru xxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx osoba uvedená x §3 písm. x), x) a x) xxxxxx určí xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické bezpečnosti,
c) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Povinná xxxxx xxxxxxx v §3 xxxx. e) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx je xxxxxx xxxxxxx x příslušnými xxxxxxxxxxx x odbornou xxxxxxxxxxxx pro xxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx řízení x xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx vrcholového vedení xxxx jím xxxxxxxx xxxxx a manažer xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx role xxxx být pověřena xxxxx, která je xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu xxxxxxx xxx xxx, xxxx
2. xx dobu xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) odpovídá za xxxxxxxxxx informování vrcholového xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx odpovědnosti x
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x
x) xxxxx být pověřen xxxxxxx rolí odpovědných xx xxxxxx informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx implementace bezpečnostních xxxxxxxx tak, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx role xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx nejméně xxx xxx, nebo
b) xx dobu jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, která je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. po xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx škole,
b) xxxxxxxx, xx provedení xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx být pověřen xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Povinná xxxxx xxx určování xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx požadavky systému xxxxxx xxxxxxxxxxx informací,
b) xxxx evidenci xxxxx xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx podle písmene x) x xxxxxxxx xxxxxx xxxxxx pravidel,
e) xxxx rizika spojená x xxxxxxxxxx,
x) v xxxxxxxxxxx x xxxxxxx xxxxx spojených s xxxxxxxxxx xxxxxxxxxx zajistí, xxx smlouvy xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x této xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx dále
a) x xxxxx výběrového xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx přiměřeně xxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx x xxxxxx realizace bezpečnostních xxxxxxxx x xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) v reakci xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx řešení.
(3) Náležitosti xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) xxxx
x) identifikace xxxxxxx nebo xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx pravidel podle xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx prokazatelně xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxx xxxxx je zajistit xxxxxxxxxxxx vzdělávání x xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. poučení uživatelů, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx politice x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x bezpečnostní xxxxxxxx xxxxxx vstupních a xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx zastávající xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx odborná školení, xxxxxxx vychází x xxxxxxxxxx xxxxxx xxxxxxx xxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního povědomí xxxxxxx pravidelné xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx smluvního vztahu x administrátory x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx zajistí předání xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí a
i) xxxx xxxxxxxx a xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx uživatelů, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx odstavce 1 přehledy, které xxxxxxxx předmět xxxxxxx x seznam xxxx, xxxxx školení xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx obsahují xxxxxxx
x) práva x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx role,
b) xxxxxxx xxx spuštění x xxxxxxxx chodu xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx systému xx xxxxxxx x xxx ošetření xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x opatření xxx xxxxxxx přístupu x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx lidských x technických xxxxxx,
x) xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxx x dat x xxxxxxx celého životního xxxxx,
x) pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) xxxxxxxx x postupy pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx stanovené xxxxx xxxxxxxx 1 a xxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx s prováděnými xxxx plánovanými xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, testovacího x provozního xxxxxxxxx.
§11
Řízení xxxx
(1) Povinná xxxxx x rámci xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává možné xxxxxx xxxx a
b) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx spojených x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 písm. x), d) x x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; pokud xxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona xx xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx na základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, která xxxxxx x zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx brání ve xxxxxxxx těchto xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx na základě xxxxxx x xxxx,
x) xxxxxxx xxxxxxx uživateli x administrátorovi přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx x technických xxxx,
x) xxxxxx bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx náplně xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx přístupových xxxxxx x rolí,
j) využívá xxxxxxx pro xxxxxx x xxxxxxxxx identity xxxxx §19 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pozice xxxx zařazení uživatelů, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových xxxxxxxxx xxx ukončení xxxx xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx přidělování x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem a xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
x) xxxx xxxxxxxx změny xxxxx §11,
c) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx významných xxxx před xxxxxx xxxxxxxxx xx xxxxxxx x
x) plní požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx nebo xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x stanoví xxxxxxx xxx
1. detekci x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx x
2. xxxxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x aplikuje postupy xxx xxxxxxxxxxxx, sběr, xxxxxxx x xxxxxxxx xxxxxxxxxxx podkladů potřebných xxx analýzu kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) při detekci xxxxxxxxxxxxxx bezpečnostních událostí xx xxxx xxxx §22 x 23,
x) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx kterém xxxx xxx rozhodnuto, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §31,
h) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x jejich xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx stávající bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) a f) xxxxxx xxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá nástroj xxxxx §24.
§15
Xxxxxx xxxxxxxxxx činností
Povinná xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) xxxxxx hodnocení xxxxx a xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx možné xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity činností,
c) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx řízení kontinuity xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx x xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. doby obnovení xxxxx, během xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení dat xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která xxxxxxxx xxxxxxxx cílů podle xxxxxxx x),
x) vypracuje, xxxxxxxxxxx a pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému a xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx a vychází xxx xxx x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) provádí a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx předpisy, vnitřními xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx x komunikačnímu xxxxxxx x určí xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx souladu.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx významných xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx po 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 2 letech v xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx odstavce 2 xxxx. x) x x) v xxxxx rozsahu, xx xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx xx xxxxx xxxxx x celém xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx hodnotí správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, krádeži xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx oblast, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx technická xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, a
c) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx zajištění xxxxxxx xx xxxxxx xxxxxxx x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx v xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) zajistí xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx nebo xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx zajištění segmentace xxxx x pro xxxxxx komunikace xxxx xxxxxx xxxxxxxx využívá xxxxxxx, který xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx před zahájením xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx neoprávněnému xxxxxxxx a zneužití,
d) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření identity xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx při xxxxxx přístupu x
x) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx nástroj pro xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, který xxxxxxx x xxxxxxxxxxx identifikátor xxxx a heslo, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 znaků x xxxxxxxxxxxxxx a xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx o xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx malých x xxxxxxx písmen, xxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx uživatelům xxxxx xxxxx, xxxxxxx xxxxxx xxxx dvěma xxxxxxx xxxxx xxxxx xxx kratší xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si nejčastěji xxxxxxxxx hesla,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx systému xxxx obdobným způsobem x
3. opětovné použití xxxxx xxxxxxxxxxx hesel x xxxxxx alespoň 12 předchozích hesel x
x) pro xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx na účty xxxxxxxx x xxxxxx xxxxxxx v případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze xxxxx x xxxxxx dále
a) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx oprávnění
Povinná xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, kterým xxxxxxx řízení oprávnění
a) xxx přístup x xxxxxxxxxxx aktivům informačního x komunikačního systému x
x) xxx xxxxx xxx, xxxxx dat x xxxxx xxxxxxxxx.
§21
Ochrana xxxx škodlivým xxxxx
(1) Povinná osoba xxxxxxx x §3 xxxx. x), d) x f) xxxxxx x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx stanic,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a výměnných xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx sítě a
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx ke spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. e) zákona xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx událostí informačního x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx aktiv informačního x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx rozsah xxxxx, x xxxxxxx je xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce, je-li x komunikační síti xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx a xxx včetně specifikace xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. identifikaci technického xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. jednoznačnou xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx činnost provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) a b) xxxx xxxxxxxxxxxx čtením x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx xxxx xxxxx, a to xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx provedených administrátory,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx a právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx uživatelů, xxxxx xxxxx mít xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx x xxxxxxxx o xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx odstavce 2 xxxxxxx po xxxx 12 měsíců.
§23
Xxxxxxx kybernetických bezpečnostních xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx komunikační xxxx, jejíž součástí xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x rámci xxxxxxxxxxx sítě x xxxx komunikačními sítěmi,
b) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx na xxxxxxxxx komunikační xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Povinná osoba xxxxxxx v §3 xxxx. x), x) x x) zákona xxxxxxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx aktivních prvků x
x) obdobných xxxxx.
§24
Sběr x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr a xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) vyhledávání x xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§25
Aplikační xxxxxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx na xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx s xxxxxxxxx změnou xxxxx §11 odst. 3.
(2) Xxxxxxx osoba xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí trvalou xxxxxxx aplikací, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx provedených činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx ochranu aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx správy xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxx x
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx doporučení x xxxxxxx kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba zavede xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
b) odolnost xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx a
d) redundanci xxxxx nezbytných pro xxxxxxxxx dostupnosti informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx pro zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx tyto xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx vzdáleného xxxxxxxx x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto xxxxxxx xx kybernetickém bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx služby
(1) Povinná xxxxx xxxxxxx v §3 písm. x) xxxxxx zavede xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (EU) 2018/151 xx dne 30. xxxxx 2018, xxxxxx se xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148, xxxxx xxx x bližší upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx sítě x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx toho, zda xx xxxxx xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 xx xx tuto povinnou xxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x vede bezpečnostní xxxxxxxxxxx zahrnující oblasti xxxxxxx v příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx osoby,
c) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno xxxxxxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx zohlednění
a) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) počtu xxxxxxxxx uživatelů,
c) způsobené xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxxxxxxx služby xxxxxxxxxxxx x komunikačního systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) dalších xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx bezpečnostních incidentů xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx II - xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx dochází x xxxx významnému xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx aktiv. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx s xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) až c).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx uvedené x §3 písm. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, xxxxx xx používáno, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT hlásí xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele národního XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x listinné xxxxxx, xxxxx pouze x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému,
c) datum x čas zjištění xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx reaktivní opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x xx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx minimalizuje jeho xxxxx xxxxxxxxx účinky, x xxxx časový xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx xx xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx údaje
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) do xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx provozovatele národního XXXX určenou xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx xx možné xxxxxx i v xxxxxxxx podobě, xxxxx xxxxx v xxxxxxxxx, xxx xxxxx využít xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx uvedená v §3 xxxx. c) xx f) xxxxxx, xxxxx xx provozovatelem, xxxx k hlášení xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ZÁVĚREČNÁ USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, x xxxxxxx xxxxx k xxxxxxxx určujících kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x strukturu bezpečnostní xxxxxxxxxxx a obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky xxx způsob xxxxxxxxx xxx, provozních údajů, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx případě xxxxxxx xxxxxxxx x čtyřech xxxxxxxx x posuzuje xx, xxxx dopad xx xxxx narušení xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení důležitosti xxxxx, než jaký xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx a xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx byla určena xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x tvoří xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx xxx řízení přístupu. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které zajistí xxxxxx x zaznamenávání xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx přístupná a xxxxxxxx nadstandardní xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále metody xxxxxxx xxxxxxxxxxx zneužití xxxxx ze xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné osoby x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Ochrana xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x případě xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx pro nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx překročit xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx ohrožení xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx několika hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x řádu několika xxxxx) vede x xxxxxxx ohrožení oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx a xxxxxx poskytování služeb xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx je xxxxxxxxxx xxxxxxxxx jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx hrozeb x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx vyjádří xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x případech, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx jistá. |
Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx zranitelnosti xxxx případné pokusy x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, ale jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Bezpečnostní xxxxxxxx xxxxxx realizována nebo xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo méně xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx a xxxx xxx zahájeny xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx k jeho xxxxxxxxxx. |
Příloha x. 3 x vyhlášce x. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx jen xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná ochrana xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx,
13. neschopnost xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx kód (xxxxxxxxx xxxx, spyware, trojské xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, odcizení xxxx xxxxxxxxx aktiva,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx elektrické xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx útok pomocí xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx č. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx dat
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x definování způsobů xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx.
(2) Jednotliví xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx si xxxxxxx pravidla pro xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx podle xxxxxx xxxxxxxx předpisů. Je xxxxx xxxxxx xxxxxxxxx xxxxxx služby nabízející xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x hodnotě x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx likvidaci xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x důležitosti xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx informace xxxxxxx pod kontrolou xxxxxxxxxx xx xxxxxxx,
x) xxx jsou xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx a nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx xxxxxx,
x) zda xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx likvidace,
j) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace dat (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (například xxx xxxxxxxxx zařízení nebude xxxxx použít variantu xxxxxxx xxxxxxxxx, ale xxxxxxx xx způsobů xxxxxxx likvidace).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxxxx dat xxx, xxx byla pro xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx dokumentu xx odpadu).
2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx metoda xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx způsob xxx xxxxxx důvěrnosti aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Způsob xxxxxxxxx spočívá x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Přepsání xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx vhodná xxx poškozená xxxxx, xxxxx neumožňující xxxxxxxx xxxxx, případně xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (vychází x přílohy č. 1): nízká xx xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx znovu xxxxxx xxx xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx obnovit xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti aktiva (xxxxxxx x přílohy č. 1): xxxxxxx až xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx paměťového xxxxx je možné xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx systému řízení xxxxxxxxxxx informací
a) Cíle, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx aktiv
a) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat, informací, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx práv x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních rolí.
c) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x principy pro xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx lidských zdrojů
a) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby a xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx řešení xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx nebo změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx provádění auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx oprávnění včetně xxxxxxxxx jednotlivých xxxxxxxxx x přístupových xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Pravidla pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Bezpečný xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx a dlouhodobého xxxxxxxx
x) Požadavky na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx
x) Xxxxxxxx x postupy xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx zařízení
a) Pravidla x xxxxxxx pro xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro zajištění xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x xxxxxx
x) Bezpečnostní xxxxxxxxx pro akvizici, xxxxx x údržbu.
b) Xxxxxx zranitelností.
c) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
2. xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx údajů
a) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis přijatých x provedených xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě
a) Xxxxxxxx x postupy pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx vzdáleného xxxxxxxx x xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
1.19. Xxxxxxxx xxxxxxx a xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx ochrany x xxxxxxx xx xxx x sílu kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx komunikačních xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Systém xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx změn
a) Způsob x principy xxxxxx xxxxxxxxxx změn x xxxxx povinné osoby, xxxxxx xxxxxxxxx, informačních x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Způsob xxxxxx xxxxxxxx x testování xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle řízení xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení dat.
c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx x posuzování xxxxxxxxxxxxx xxxxx.
x) Určení x obsah xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx se xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx systému xxxxxx bezpečnosti informací.
d) Xxxxxxxx hodnocení rizik x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x xxx hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxx,
3. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx stupnice pro xxxxxxxxx xxxxxx rizik.
c) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx a xxxxx primárních aktiv,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Přehled podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. posouzení možných xxxxxx xx aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. návrh opatření x jejich realizace.
2.5. Xxxxxxxxxx o aplikovatelnosti
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx touto xxxxxxxxx včetně xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx na konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx bezpečnostních opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx a xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx předmět jednotlivých xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Přehled obecně xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx
x) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled vnitřních xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled smluvních xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Topologie infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role
Tato xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Xxxxx xxxxxxxx: |
x) Xxxx výboru pro xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady ISO/IEC 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Certified xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer BI (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx xxxxxxxxxx či xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x xxxxxxxxxxxxx systémů x její navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Hacker (XXX), CompTIA Security +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační nebo xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Lead Auditor XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti aktiva. |
|
Xxxxxxxx: |
x) Dobrá znalost xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx rolí splňuje xxxxxxxxx ISO 17 024.
Příloha x. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) ustanovení x bezpečnosti informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x autorství programového xxxx, popřípadě x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx xxxx xxx xxxxxxxxx, xx poddodavatelé xx zaváží xxxxxxxxx x plném xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení x xxxxxxxxxxxx bezpečnostních xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik na xxxxxx xxxxxxxxxx a x zbytkových xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx zákona x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx při xxxxxxxx xxxxxxxxxx, xxx xx xxxxx ještě xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx xx xxxxxxxxxxx xxxxx, xxxxx dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx pro formát xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx vyžádání správcem,
m) xxxxxxxx pro xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx smlouvy x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx xxxxxxxx xxx zásadními aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) ustanovení x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 8 x vyhlášce č. 82/2018 Sb.
Vzor Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem jiných xxxxxxxx předpisů v xxxxxxxx xxxx aktualizováno, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx úrovně bezpečnosti xxxx a xxxxxxxxxxxx xxxxxxx x Xxxx.